リスク イベントとは、企業の目的、業務、またはリソースに悪影響を与える出来事または状況のことです。買収される企業でのデータ漏洩は、買収の価値、評判、またはパフォーマンスに影響を与える可能性があるため、買収組織にとってリスク イベントです。リスク イベントは、さらなる措置や対応が必要となる可能性のあるその他のリスクや結果を引き起こす可能性もあります。その他の選択肢は、状況を正確に説明していないため、正解ではありません。脅威イベントとは、脆弱性を悪用したり、資産やプロセスに損害を与えたりする出来事または状況のことです。固有のリスクとは、制御や処理を適用する前から存在するリスクのことです。セキュリティ インシデントとは、企業のセキュリティ ポリシーまたは手順に違反するイベントのことです。参考資料 = CRISC: Certified in Risk & Information Systems Control サンプル問題

復旧時間目標 (RTO) は、中断後に重要な機能とプロセスを復旧するための最大許容時間枠です1。RTO はビジネス影響分析 (BIA) から導き出され、組織のリスク選好度を反映します。リスク選好度とは、組織が目標を達成するために受け入れるリスクの量です2。リスク許容度は、企業が許容するリスクのレベルであり、不確実性や財務損失がどの程度許容されるか、それらの損失が業務に影響を及ぼす場所など、さまざまな要因によって左右されます3。リスク許容度は、リスク エクスポージャーがリスク選好度の範囲内であるかどうかを測定し、残留リスクを許容レベルまで低減するための制御を実装するために使用されます2。コア IT アプリケーションの RTO の大部分がビジネス アプリケーションの所有者によって定義された最大時間を超えている場合、組織はリスク選好度を満たしておらず、許容できる以上のリスクにさらされていることを意味します。したがって、結果として最も可能性の高い変更は、現在の現実を反映してリスク許容度を調整し、復旧機能を改善してリスク エクスポージャーを低減するための措置を講じることです4。リスク予測とは、組織の目標に影響を及ぼす可能性のある将来のイベントの潜在的な結果と影響を見積もるプロセスです5。リスク予測は、RTO が最大時間を超えた結果として変わる可能性がありますが、リスク選好度とリスク エクスポージャーのギャップに直接対処するものではないため、最も起こりやすい変化ではありません。リスクの可能性は、リスク イベントが発生する確率です5。リスクの可能性は、RTO が最大時間を超えた結果として変わる可能性がありますが、リスク イベントが組織の目標に与える影響を直接測定するものではないため、最も起こりやすい変化ではありません。リスク選好度とは、組織が目標を達成するために受け入れるリスクの量です2。リスク選好度は、RTO が最大時間を超えた結果として変わる可能性がありますが、リスク選好度は、組織のビジョンとミッションを反映する戦略的決定であり、特定のリスク イベントに対する戦術的な対応ではないため、最も起こりやすい変化ではありません。参考文献 = リスクおよび情報システム制御研究マニュアル、第 5 章: リスク対応と軽減、セクション 5.3: 事業継続計画、227-238 ページ。